數據業務系統安全防護策略

數據業務系統安全防護策略

　　數據業務系統安全防護策略

　　摘要：數據業務系統作為核心系統，它的正常運行關系到整個網絡的順暢，安全防護要求不斷提高。

　　針對數據業務系統目前面臨主要網絡安全問題，提出安全域劃分以及邊界整合的方案，為數據業務系統安全防護提供技術和策略上的指導。

　　關鍵詞：安全域 邊界整合 數據業務系統 安全防護

　　0 引言

　　隨著數據業務快速發展，信息化程度不斷提高，國民經濟對信息系統的依賴不斷增強，迫切需要數據業務系統在網絡層面建立清晰的組網結構。

　　同時，根據國家安全等級保護的要求，需要不斷細化各業務系統的安全防護要求，落實更多的數據業務等級保護問題。

　　針對數據業務系統規模龐大、組網復雜的現狀，以及向云計算演進的特點，按照等級保護和集中化的要求，需要對運營商數據業務系統進行安全域的劃分和邊界整合，明確數據業務系統組網結構。

　　在此基礎上，進一步提出了數據業務系統安全防護策略，促進數據業務系統防護水平和安全維護專業化水平的整體提高。

　　1 數據業務系統網絡安全面臨的威脅

　　隨著全球信息化和網絡技術的迅猛發展，網絡安全問題日益嚴峻，黑客攻擊日益猖獗，尤其是以下幾個方面的問題引起了人們的廣泛關注，給電信信息化安全帶來了新的挑戰。

　　(1)黑客攻擊是竊取網站集中存儲信息的重要手段，通過獲取用戶口令，尋找出網絡缺陷漏洞，從而獲取用戶權限，達到控制主機系統的目的，導致用戶重要信息被竊取。

　　(2)隨著移動互聯網智能終端的快速發展，3G和wifi網絡的大量普及，惡意程序成為黑客攻擊智能終端的一個重要手段，針對智能終端的攻擊不斷增加，最終將導致重要資源和財產的嚴重損失。

　　(3)隨著電子商務的普及，人們現已逐步習慣通過支付寶、網上銀行或者第三方交易平臺進行交易，黑客將對金融機構中的信息實施更加專業化和復雜化的惡意攻擊。

　　(4)自韓國爆發大規模黑客入侵事件以來，APT(Advanced Persistent Threat)攻擊更加盛行，主要典型特征包括魚叉式釣魚郵件、水坑攻擊與自我毀滅等，由于APT攻擊具有極強的隱蔽能力和針對性，同時網絡風險與日劇增，傳統的安全防護系統很難抵御黑客的入侵，這就需要企業和運營商全方位提升防護能力。

　　(5)隨著云計算大規模的應用，作為一種新型的計算模式，對系統中的安全運營體系和管理提出了新的挑戰，虛擬化軟件存在的安全漏洞需要更加全面地進行安全加固，建立一套完整的安全體制。

　　2 數據業務系統安全域劃分與邊界整合

　　2.1 安全域劃分的目的

　　安全域是指在同一系統內根據業務性質、使用主體、安全目標和策略等元素的不同來劃分的網絡邏輯區域，同一區域有相同的安全保護需求、安全訪問控制和邊界控制策略，網絡內部有較高的互信關系。

　　安全域劃分的目的是清晰網絡層次及邊界，對網絡進行分區、分等級防護，根據縱深防護原則，構建整體網絡的防護體系，抵御網絡威脅，保證系統的順暢運行及業務安全。

　　通過安全域的劃分，可以有利于如下四方面：

　　(1)降低網絡風險：根據安全域的劃分及邊界整合，明確各安全域邊界的災難抑制點，實施縱深防護策略，控制網絡的安全風險，保護網絡安全。

　　(2)更易部署新業務：通過安全域劃分，明確網絡組網層次，對網絡的安全規劃、設計、入網和驗收總做進行指導。

　　需要擴展新的業務時，根據新業務的屬性及安全防護要求，部署在相應的安全域內。

　　(3)IT內控的實效性增強：通過安全域的劃分，明確各安全域面臨的威脅，確定其防護等級和防護策略。

　　另外，安全域劃分可以指導安全策略的制定和實施，由于同一安全域的防護要求相同，更有利于提高安全設備的利用率，避免重復投資。

　　(4)有利于安全檢查和評估：通過安全域劃分，在每個安全域部署各自的防護策略，構建整體防護策略體系，方便運維階段進行全局風險監控，提供檢查審核依據。

　　2.2 安全域劃分

　　根據安全域的定義，分析數據業務系統面臨的威脅，確定威脅的類型及不同業務的安全保護等級，通常將數據業務系統劃分為四類主要的安全域：核心生產區、內部互聯接口區、互聯網接口區和核心交換區。

　　(1)核心生產區：本區域由各業務的應用服務器、數據庫及存儲設備組成，與數據業務系統核心交換區直接互聯，外部網絡不能與該區域直接互聯，也不能通過互聯網直接訪問核心生產區的設備。

　　(2)內部互聯接口區：本區域由連接內部系統的互聯基礎設施構成，主要放置企業內部網絡，如IP專網等連接，及相關網絡設備，具體包括與支撐系統、其它業務系統或可信任的第三方互聯的設備，如網管采集設備。

　　(3)核心交換區：負責連接核心生產區、互聯網接口區和內部互聯接口區等安全域。

　　(4)互聯網接口區：和互聯網直接連接，具有實現互聯網與安全域內部區域數據的轉接作用，主要放置互聯網直接訪問的設備(業務系統門戶)。

　　2.3 邊界整合

　　目前，對于以省為單位，數據業務機房一般是集中建設的，通常建設一個到兩個數據業務機房。

　　進行數據業務系統邊界整合前，首先要確定邊界整合的范圍：至少以相同物理位置的數據業務系統為基本單位設置集中防護節點，對節點內系統進行整體安全域劃分和邊界整合。

　　若物理位置不同，但具備傳輸條件的情況下，可以進一步整合不同集中防護節點的互聯網出口。

　　對節點內系統邊界整合的基本方法是將各系統的相同類型安全域整合形成大的安全域，集中設置和防護互聯網出口和內部互聯出口，集中部署各系統共享的安全防護手段，并通過縱深防護的部署方式，提高數據業務系統的安全防護水平，實現網絡與信息安全工作“同步規劃、同步建設、同步運行”。

　　通常數據業務系統邊界整合有兩種方式：集中防護節點內部的邊界整合和跨節點整合互聯網傳輸接口。

　　(1)集中防護節點內部的邊界整合

　　根據數據業務系統邊界整合的基本原則，物理位置相同的數據業務系統通常設置一個集中防護節點。

　　在集中防護節點內部，根據安全域最大化原則，通過部署核心交換設備連接不同系統的相同類型子安全域，整合形成大的安全域，集中設置內部互聯出口和互聯網出口。

　　整合后的外部網絡、各安全域及其內部的安全子域之間滿足域間互聯安全要求，整個節點共享入侵檢測、防火墻等安全防護手段，實現集中防護。

　　(2)跨節點整合互聯網傳輸接口

　　在具備傳輸條件的前提下，將現有集中防護節點的互聯網出口整合至互備的一個或幾個接口，多個集中防護節點共享一個互聯網傳輸出口。

　　通過核心路由器連接位置不同的集中防護節點，并將網絡中的流量路由到整合后的接口。

　　各節點可以保留自己的互聯網接口區，或者進一步將互聯網接口區集中到整合后的接口位置。

　　在安全域劃分及邊界整合中，根據安全域最大化原則，多個安全子域會被整合在一個大的安全域內。

　　同時，根據域間互聯安全要求和最小化策略，這些安全子域之間不能隨意互聯，必須在邊界實施訪問控制策略。

　　3 數據業務系統的安全防護策略

　　3.1 安全域邊界的保護原則

　　(1)集中防護原則：以安全域劃分和邊界整合為基礎，集中部署防火墻、入侵檢測、異常流量檢測和過濾等基礎安全技術防護手段，多個安全域或子域共享手段提供的防護;

　　(2)分等級防護原則：根據《信息系統安全保護等級定級指南》和《信息系統等級保護安全設計技術要求》的指導，確定數據業務業務系統邊界的安全等級，并部署相對應的安全技術手段。

　　對于各安全域邊界的安全防護應按照最高安全等級進行防護;

　　(3)縱深防護原則：通過安全域劃分，在外部網絡和核心生產區之間存在多層安全防護邊界。

　　由于安全域的不同，其面臨的安全風險也不同，為了實現對關鍵設備或系統更高等級防護，這就需要根據各邊界面臨的安全風險部署不同的安全技術及策略。

　　3.2 安全技術防護部署

　　對于數據網絡，一般安全防護手段有防火墻、防病毒系統、入侵檢測、異常流量檢測和過濾、網絡安全管控平臺(包含綜合維護接入、賬號口令管理和日志審計模塊)等5類通用的基礎安全技術。

　　下面以數據業務系統安全域劃分和邊界整合為基礎，進行安全技術手段的部署。

　　(1)防火墻部署：防火墻是可以防止網絡中病毒蔓延到局域網的一種防護安全機制，但只限制于外部網絡，因此防火墻必須部署在互聯網接口區和互聯網的邊界。

　　同時，對于重要系統的核心生產區要構成雙重防火墻防護，需要在核心交換區部署防火墻設備。

　　由于安全域內部互聯風險較低，可以復用核心交換區的防火墻對內部互聯接口區進行防護，減少防火墻數量，提高集中防護程度。

　　(2)入侵檢測設備的部署：入侵檢測主要通過入侵檢測探頭發現網絡的入侵行為，能夠及時對入侵行為采取相應的措施。

　　入侵檢測系統中央服務器集中部署在網管網中，并控制部署在內部互聯接口區和互聯網接口區之間的入侵檢測探頭，及時發現入侵事件。

　　同時安全防護要求較高的情況下，將入侵檢測探頭部署在核心交換區，通過網絡數據包的分析和判斷，實現各安全子域間的訪問控制。

　　(3)防病毒系統的部署：防病毒系統采用分級部署，對安全域內各運行Windows操作系統的設備必須安裝防病毒客戶端，在內部互聯接口子域的內部安全服務區中部署二級防病毒控制服務器，負責節點內的防病毒客戶端。

　　二級服務器由部署在網管網中的防病毒管理中心基于策略實施集中統一管理。

　　(4)異常流量的檢測和過濾：為了防御互聯網病毒、網絡攻擊等引起網絡流量異常，將異常流量檢測和過濾設備部署在節點互聯網接口子域的互聯網邊界防火墻的外側，便于安全管理人員排查網絡異常、維護網絡正常運轉、保證網絡安全。

　　(5)網絡安全管控平臺：網絡安全管控平臺前置機接受部署在數據業務系統網管網內的安全管控平臺核心服務器控制，部署在各集中防護節點的內部互聯接口區的安全服務子域中，實現統一運維接入控制，實現集中認證、授權、單點登錄及安全審計。

　　(6)運行管理維護：安全工作向來三分技術、七分管理，除了在安全域邊界部署相應的安全技術手段和策略外，日常維護人員還要注重安全管理工作。

　　一方面，對安全域邊界提高維護質量，加強邊界監控和系統評估;另一方面，要從系統、人員進行管理，加強補丁的管理和人員安全培訓工作，提高安全意識，同時對系統及服務器賬號嚴格管理，統一分配。

　　4 結語

　　由于通信技術的快速發展， 新業務和新應用系統越來越多，主機設備數量巨大，網絡日益復雜，服務質量要求也越來越高。

　　通過安全域的劃分，構建一個有效可靠的縱深防護體系，同時優化了數據業務系統，提高網絡運維效率，提高IT網絡安全防護等級，保證系統的順暢運行。

　　參考文獻

　　[1]魏亮.電信網絡安全威脅及其需求[J].信息網絡安全，2007.1.

　　[2]中國移動通信企業標準，中國移動數據業務系統集中化安全防護技術要求[S].

　　[3]王松柏，魏會娟，曹正貴.運營商IT支撐系統安全域劃分的研究與應用[J].信息通信，2013.5.

【數據業務系統安全防護策略】相關文章：

09-24

08-31

04-01

04-25

09-24

08-30

09-24

03-15

10-10